黑客利用物联网漏洞大肆传播新型ShadowV2恶意软件

2025年10月下旬，一场名为ShadowV2的新型恶意软件活动在全球AWS服务中断期间悄然兴起。这一复杂的威胁利用物联网设备中的漏洞组建僵尸网络，以发动分布式拒绝服务攻击。

该恶意软件的快速部署表明，攻击者正在协调一致地利用受感染的硬件进行大规模破坏活动。感染迅速蔓延至包括科技、教育和零售在内的七个行业，影响了美国、欧洲和亚洲的组织。

专家认为，这次激增很可能是一次“测试运行”，旨在评估僵尸网络造成大规模服务中断的潜力。此次活动的广泛性凸显了企业环境中未受保护联网设备所存在的持续风险。

Fortinet安全分析师发现，该恶意软件利用了来自D-Link和TP-Link等厂商的路由器和DVR中未修补的旧安全漏洞。通过针对这些已知弱点，攻击者成功入侵了许多组织未能用最新固件补丁更新的设备。

攻击链始于易受攻击的设备被迫从远程服务器81.88.18.108下载名为binary.sh的脚本。该脚本会自动检测宿主机架构，无论是ARM、MIPS还是x86，并获取相应的恶意软件有效负载以确保成功执行。

ShadowV2技术分析

ShadowV2镜像了“LZRD” Mirai变种的架构，但采用了独特的混淆技术。启动后，它使用密钥为0x22的简单XOR密码来解密其配置。这些隐藏数据包括文件路径（如/proc/）和用于将恶意流量伪装成合法用户活动的欺骗性User-Agent字符串。

一旦激活，恶意软件便会与其命令与控制服务器建立联系以接收攻击指令。它支持多种DDoS攻击向量，包括UDP洪泛和TCP SYN洪泛，将这些行为映射到特定的内部函数ID，以便快速对目标发起攻击。